Izpratne par tīkla politikas iespējām ar Calico

Calico tīkla spraudnis nodrošina plašu tīkla politiku klāstu ar vienotu sintaksi, lai aizsargātu aparatūras saimniekdatorus, virtuālās mašīnas un apvidus. Šīs politikas var tikt lietotas nosaukumvietā vai globālās tīkla politikas, kas attiecas uz resursdatora galapunkts (lai aizsargātu lietojumprogrammas, kas darbojas tieši resursdatorā - resursdators var būt serveris vai virtuālā mašīna) vai darba slodzes galapunkts (lai aizsargātu lietojumprogrammas, kas darbojas konteineros vai mitinātās virtuālās mašīnās). Calico politikas ļauj piemērot drošības pasākumus dažādos paketes ceļa punktos, izmantojot tādas opcijas kā preDNAT, unraracked un applyOnForward. Izpratne par šo opciju darbību var palīdzēt uzlabot jūsu kopējās sistēmas drošību un veiktspēju. Šajā rakstā ir izskaidrota šo Calico politikas opciju (preDNAT, unraracked un applyOnForward) būtība, kas tiek lietota resursdatora galapunktiem, uzsverot to, kas notiek pakešu apstrādes ceļos (iptabels ķēdēs).

Šajā rakstā tiek pieņemts, ka jums ir pamatzināšanas par Kubernetes un Calico tīkla politiku darbību. Ja nē, mēs iesakām to izmēģināt pamata tīkla politikas apmācība и resursdatora aizsardzības apmācība lietojiet Calico pirms šī raksta lasīšanas. Mēs arī sagaidām, ka jums būs pamatzināšanas par darbu iptables Linux sistēmā.

Calico globālā tīkla politika ļauj lietot piekļuves noteikumu kopu, izmantojot etiķetes (saimniekdatoru grupām un darba slodzēm/podiem). Tas ir ļoti noderīgi, ja kopā izmantojat neviendabīgas sistēmas — virtuālās mašīnas, sistēmu, kas atrodas tieši uz aparatūras, vai kubernetes infrastruktūru. Turklāt jūs varat aizsargāt savu klasteru (mezglus), izmantojot deklaratīvo politiku kopu, un piemērot tīkla politikas ienākošajai trafikai (piemēram, izmantojot pakalpojumu NodePorts vai External IPs).

Pamatlīmenī, kad Calico savieno podziņu ar tīklu (skatiet diagrammu zemāk), tas savieno to ar resursdatoru, izmantojot virtuālo Ethernet interfeisu (veth). Datplūsma, ko sūta pods, nonāk resursdatorā no šīs virtuālās saskarnes un tiek apstrādāta tāpat kā tad, ja tā nāk no fiziska tīkla saskarnes. Pēc noklusējuma Calico šīs saskarnes nosauc par caliXXX. Tā kā trafika notiek caur virtuālo saskarni, tā iet caur iptables tā, it kā pods būtu viena lēciena attālumā. Tāpēc, kad satiksme nāk uz/no podziņa, tā tiek pārsūtīta no saimniekdatora viedokļa.

Kubernetes mezglā, kurā darbojas Calico, virtuālo saskarni (veth) varat kartēt ar darba slodzi, kā norādīts tālāk. Tālāk esošajā piemērā varat redzēt, ka veth#10 (calic1cbf1ca0f8) ir savienots ar cnx-manager-* kalikonu uzraudzības nosaukumvietā.

[centos@ip-172-31-31-46 K8S]$ sudo ip a
...
10: calic1cbf1ca0f8@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1440 qdisc noqueue state UP group default
    link/ether ee:ee:ee:ee:ee:ee brd ff:ff:ff:ff:ff:ff link-netnsid 5
    inet6 fe80::ecee:eeff:feee:eeee/64 scope link
       valid_lft forever preferred_lft forever
...

[centos@ip-172-31-31-46 K8S]$ calicoctl get wep --all-namespaces
...
calico-monitoring cnx-manager-8f778bd66-lz45m                            ip-172-31-31-46.ec2.internal 192.168.103.134/32
calic1cbf1ca0f8
...

Ņemot vērā, ka Calico katrai darba slodzei izveido veth saskarni, kā tas ievieš politikas? Lai to izdarītu, Calico izveido āķus dažādās pakešu apstrādes ceļa ķēdēs, izmantojot iptables.

Tālāk redzamajā diagrammā parādītas ķēdes, kas iesaistītas pakešu apstrādē iptables (vai apakšsistēmā Netfilter). Kad pakete nonāk caur tīkla interfeisu, tā vispirms iet caur PREROUTING ķēdi. Pēc tam tiek pieņemts lēmums par maršrutēšanu, un, pamatojoties uz to, pakete iet caur INPUT (novirzīta uz resursdatora procesiem) vai FORWARD (novirzīta uz pod vai citu tīkla mezglu). No vietējā procesa pakete iet cauri OUTPUT un pēc tam POSTROUTING ķēdei, pirms tiek nosūtīta pa kabeli.

Ņemiet vērā, ka iptables apstrādes ziņā pods ir arī ārēja entītija (savienota ar veth). Apkoposim:

• Pārsūtītā satiksme (nat, maršrutēta vai uz/no pod) iet caur ķēdēm PREROUTING - FORWARD - POSTROUTING.
• Datplūsma uz vietējo saimniekdatora procesu iet caur ķēdi PREROUTING - INPUT.
• Datplūsma no vietējā saimniekdatora procesa iet caur ķēdi OUTPUT - POSTROUTING.

Calico nodrošina politikas iespējas, kas ļauj piemērot politikas visās ķēdēs. Paturot to prātā, apskatīsim dažādās Calico pieejamās politikas konfigurācijas opcijas. Cipari zemāk esošajā opciju sarakstā atbilst skaitļiem diagrammā iepriekš.

1. Darba slodzes galapunkta (pod) politika
2. Resursdatora galapunkta politika
3. Opcija ApplyOnForward
4. PreDNAT politika
5. Neizsekota politika

Sāksim ar to, kā politikas tiek piemērotas darba slodzes galapunktiem (Kubernetes podiem vai OpenStack virtuālajām mašīnām), un pēc tam apskatīsim resursdatora galapunktu politikas opcijas.

Darba slodzes galapunkti

Darba slodzes galapunkta politika (1)

Šī ir iespēja aizsargāt jūsu kubernetes pākstis. Calico atbalsta darbu ar Kubernetes NetworkPolicy, taču tas nodrošina arī papildu politikas - Calico NetworkPolicy un GlobalNetworkPolicy. Calico izveido ķēdi katram apgabalam (darba slodzei) un āķi INPUT un OUTPUT ķēdēs darba slodzei uz FORWARD ķēdes filtru tabulu.

Resursdatora galapunkti

Resursdatora galapunkta politika (2)

Papildus CNI (konteinera tīkla saskarnei), Calico politikas nodrošina iespēju aizsargāt pašu resursdatoru. Programmā Calico varat izveidot resursdatora galapunktu, norādot resursdatora saskarnes un, ja nepieciešams, portu numuru kombināciju. Politikas izpilde šai entītijai tiek panākta, izmantojot filtru tabulu INPUT un OUTPUT ķēdēs. Kā redzams diagrammā, (2) tie attiecas uz lokālajiem procesiem mezglā/resursdatorā. Tas nozīmē, ka, ja izveidojat politiku, kas attiecas uz resursdatora galapunktu, tā neietekmēs trafiku, kas iet uz jūsu apvidiem/no tiem. Taču tas nodrošina vienu saskarni/sintaksi, lai bloķētu trafiku jūsu saimniekdatoram un podiem, izmantojot Calico politikas. Tas ievērojami vienkāršo politiku pārvaldības procesu neviendabīgam tīklam. Vēl viens svarīgs lietošanas gadījums ir resursdatora galapunktu politiku konfigurēšana, lai uzlabotu klasteru drošību.

ApplyOnForward politika (3)

Opcija ApplyOnForward ir pieejama Calico globālajā tīkla politikā, lai atļautu politikas piemērot visai trafikai, kas iet caur resursdatora galapunktu, tostarp trafiku, ko pārsūtīs resursdators. Tas ietver datplūsmu, kas tiek pārsūtīta uz vietējo podziņu vai jebkur citur tīklā. Calico pieprasa, lai šis iestatījums būtu iespējots politikām, kurās tiek izmantota PreDNAT un netiek izsekota; skatiet tālāk norādītās sadaļas. Turklāt ApplyOnForward var izmantot, lai uzraudzītu resursdatora trafiku gadījumos, kad tiek izmantots virtuālais maršrutētājs vai programmatūras NAT.

Ņemiet vērā: ja jums ir jāpiemēro viena un tā pati tīkla politika gan resursdatora procesiem, gan podiem, opcija ApplyOnForward nav jāizmanto. Viss, kas jums jādara, ir izveidot etiķeti vajadzīgajam resursdatora punktam un darba slodzes galapunktam (pod). Calico ir pietiekami gudrs, lai īstenotu politiku, kuras pamatā ir etiķetes, neatkarīgi no galapunkta veida (hostendpoint vai darba slodze).

PreDNAT politika (4)

Programmā Kubernetes pakalpojumu entītiju portus var atklāt ārēji, izmantojot opciju NodePorts vai pēc izvēles (izmantojot Calico), reklamējot tos, izmantojot opcijas Cluster IP vai External IPs. Kube starpniekserveris līdzsvaro ienākošo trafiku, kas ir saistīta ar pakalpojumu, atbilstošā pakalpojuma podiem, izmantojot DNAT. Ņemot to vērā, kā jūs ieviešat politikas trafikam, kas nāk caur NodePorts? Lai nodrošinātu, ka šīs politikas tiek piemērotas, pirms datplūsma tiek apstrādāta ar DNAT (kas ir kartēšana starp resursdatoru: portu un atbilstošo pakalpojumu), Calico nodrošina globalNetworkPolicy parametru, ko sauc par "preDNAT: true".

Kad ir iespējots pirms-DNAT, šīs politikas tiek ieviestas diagrammas 4. punktā — ķēdes PREROUTING mangle tabulā — tieši pirms DNST. Šeit netiek ievērota parastā politiku secība, jo šīs politikas tiek lietotas daudz agrāk trafika apstrādes ceļā. Tomēr preDNAT politikas ievēro piemērošanas secību savā starpā.

Veidojot politikas ar pre-DNAT, ir svarīgi būt uzmanīgiem attiecībā uz datplūsmu, kuru vēlaties apstrādāt, un ļaut, lai lielākā daļa tiktu noraidīta. Datplūsma, kas pirms-DNAT politikā ir atzīmēta kā “atļauta”, vairs netiks pārbaudīta resursdatora punkta politikā, savukārt datplūsma, kas neatbilst pirms-DNAT politikai, turpināsies pa pārējām ķēdēm.
Calico ir noteicis, ka, izmantojot preDNAT, ir jāiespējo opcija applyOnForward, jo pēc definīcijas trafika galamērķis vēl nav izvēlēts. Trafiku var novirzīt uz resursdatora procesu vai arī to var pārsūtīt uz pod vai citu mezglu.

Neizsekota politika (5)

Tīkliem un lietojumprogrammām var būt lielas darbības atšķirības. Dažos ārkārtējos gadījumos lietojumprogrammas var radīt daudz īslaicīgu savienojumu. Tas var izraisīt conntrack (Linux tīkla steka pamatkomponenta) atmiņas pārtraukšanu. Tradicionāli, lai palaistu šāda veida lietojumprogrammas operētājsistēmā Linux, jums ir manuāli jākonfigurē vai jāatspējo conntrack vai jāraksta iptables kārtulas, lai apietu conntrack. Neizsekotā politika Calico ir vienkāršāka un efektīvāka iespēja, ja vēlaties apstrādāt savienojumus pēc iespējas ātrāk. Piemēram, ja izmantojat masīvu Memcache vai kā papildu aizsardzības līdzeklis pret DDOS.

Lasi šo blog post (Vai mūsu tulkojums), lai iegūtu plašāku informāciju, tostarp veiktspējas testus, izmantojot neizsekoto politiku.

Iestatot opciju "doNotTrack: true" Calico globalNetworkPolicy, tā kļūst par **untracked** politiku un tiek lietota ļoti agri Linux pakešu apstrādes konveijerā. Aplūkojot iepriekš redzamo diagrammu, neapstrādātās tabulas ķēdēs PREROUTING un OUTPUT tiek piemērotas neizsekotas politikas, pirms tiek sākta savienojuma izsekošana (conntrack). Ja paketi atļauj neizsekošanas politika, tā tiek atzīmēta, lai atspējotu savienojuma izsekošanu šai paketei. Tas nozīmē:

• Neizsekotā politika tiek piemērota katrai paketei. Nav savienojuma (vai plūsmas) jēdziena. Savienojumu trūkumam ir vairākas svarīgas sekas:
• Ja vēlaties atļaut gan pieprasījumu, gan atbildes trafiku, jums ir nepieciešama kārtula gan ienākošajai, gan izejošajai informācijai (jo Calico parasti izmanto conntrack, lai atzīmētu atbildes trafiku kā atļautu).
• Neizsekotā politika nedarbojas Kubernetes darba slodzēm (podiem), jo šajā gadījumā nav iespējams izsekot izejošo savienojumu no pod.
• NAT nedarbojas pareizi ar neizsekotām paketēm (jo kodols saglabā NAT kartēšanu conntrack).
• Izejot kārtulu "atļaut visu" neizsekošanas politikā, visas paketes tiks atzīmētas kā neizsekotas. Tas gandrīz vienmēr nav tas, ko vēlaties, tāpēc ir svarīgi būt ļoti selektīvam attiecībā uz paketēm, kuras atļauj neizsekotas politikas (un ļaut lielākajai daļai trafika iziet caur parastajām izsekotajām politikām).
• Neizsekotas politikas tiek piemērotas pakešu apstrādes konveijera pašā sākumā. Tas ir ļoti svarīgi saprast, veidojot Calico politikas. Jums var būt polise ar pasūtījumu:1 un neizsekota politika ar pasūtījumu:1000. Tam nebūs nozīmes. Neizsekoto politika tiks piemērota pirms aplikuma politikas. Neizsekotās politikas ievēro izpildes kārtību tikai savā starpā.

Tā kā viens no politikas doNotTrack mērķiem ir ieviest politiku ļoti agrīnā Linux pakešu apstrādes konveijerā, Calico nosaka, ka, izmantojot doNotTrack, obligāti jānorāda opcija applyOnForward. Atsaucoties uz pakešu apstrādes diagrammu, ņemiet vērā, ka politika untracked(5) tiek piemērota pirms jebkādiem maršrutēšanas lēmumiem. Trafiku var novirzīt uz resursdatora procesu vai arī to var pārsūtīt uz pod vai citu mezglu.

Rezultāti

Mēs apskatījām dažādas politikas iespējas (resursdatora galapunkts, ApplyOnForward, preDNAT un Untracked) programmā Calico un to, kā tās tiek piemērotas pakešu apstrādes ceļā. Izpratne par to darbību palīdz izstrādāt efektīvas un drošas politikas. Izmantojot Calico, varat izmantot globālo tīkla politiku, kas attiecas uz etiķeti (mezglu un bloku grupu), un lietot politikas ar dažādiem parametriem. Tas ļauj drošības un tīkla dizaina profesionāļiem ērti aizsargāt “visu” (galapunktu veidus) vienlaikus, izmantojot vienu politikas valodu ar Calico politikām.

Pateicība: Es vēlos pateikties Šons Kramptons и Aleksa Pollita par pārskatīšanu un vērtīgo informāciju.

Avots: www.habr.com